· 调查显示,受访者疫情期间人均创建 15 个新账户,其中82% 为自己多个账户设置了相同密码
· 过半受访的千禧一代宁愿通过有安全隐患的应用或网站下单,也不愿致电或上门订购产品
IBM Security 日前(美国时间6月15日)公布了一项全球调查结果,调查内容是消费者在疫情期间的数字行为以及这些行为可能对网络安全造成的长期影响。这项调查显示,随着整个社会越来越习惯于使用数字交互方式,人们越来越看重便利性,对便利的重视程度往往超过了对安全和隐私问题的重视程度,导致他们在设置密码和其他网络安全行为方面会作出不明智的选择。
消费者的安全意识日渐松懈,而企业又在疫情期间加速推动数字化转型,这可能为攻击者提供更多可乘之机,让他们有机会针对各行各业发动包括勒索软件、数据盗窃在内的各种网络攻击。IBM Security X-Force 的研究表明,员工也可能将不良的个人安全习惯带到工作场所,从而导致企业遭遇代价高昂的安全事件。据调查,用户凭证泄露是造成 2020 年网络攻击事件的主要原因之一。1
Morning Consult 代表 IBM Security 对来自 22 个市场的 22,000 人进行了一项全球调查 2 ,结果显示,疫情对消费者安全行为造成了以下影响:
· 疫情导致的数字繁荣会持续:在疫情期间,受访者人均创建了 15 个新的线上账户,相当于全球共创建了数十亿个新账户。44% 的受访者表示他们并不打算删除或停用这些新账户,预示着未来几年他们的数字足迹将增加,这将为网络犯罪分子提供更大的攻击面。
· 账户过多导致用户在设置密码时的安全意识松懈:由于数字账户激增,受访者在设置密码时的安全意识日渐松懈,82% 的受访者承认自己至少在某些时候会重复使用密码。这就意味着,受访者在疫情期间创建的许多新账户可能重复使用了电子邮件和密码组合,而这些组合可能已经在过去十年所发生的数据泄露事件中被暴露过。
· 受访者对便利性的重视程度往往超过对安全性和隐私性的重视程度:在接受调查的千禧一代之中,超过一半 (51%) 的受访者宁愿使用存在安全隐患的应用程序或网站下单,也不愿拨打电话或上门订购产品。由于这些用户更有可能为了数字订购的便利性而忽视安全问题,因此提供这些服务的企业可能会为了避免欺诈行为而承担更沉重的安全负担。
随着消费者越来越倾向于数字交互,这些行为也有可能促进企业在各种环境中采用新兴技术,例如:从远程医疗到数字身份等。3
IBM Security X-Force 全球管理合伙人兼负责人 Charles Henderson 表示:“疫情导致新的线上账户激增,然而整个社会对数字便利性的日益依赖可能会以安全和数据隐私为代价。如今,组织必须考虑这种数字依赖对企业安全风险状况的影响。随着密码的可靠性越来越差,组织需要采用可靠的验证方法。除了多重身份验证以外,组织还可以逐步采用“零信任”方法来确保安全性 —— 即在整个过程中运用先进的人工智能和分析技术来发现潜在威胁,而不是假设通过了身份验证的用户都是可信用户。”
消费者热切期望提高访问的便捷性
这项调查揭示了影响当下和未来网络安全形势的各种消费者行为。调查显示,随着人们在生活当中更广泛地使用数字交互,许多人热切期望提高访问和使用的便捷性。
· 五分钟法则:据调查,多数成年人 (59%) 期望仅花不到 5 分钟时间即可创建一个新的数字账户。
· 三振出局:全球范围内的受访者在重置密码之前都会尝试登录 3-4 次。重置密码不仅会使企业承担额外费用,而且如果密码与已经被盗的电子邮件账户结合使用,重置密码还会带来安全威胁。
· 依赖记忆:44% 的受访者会试图记住他们的线上账户信息(最常用的方法),32% 的受访者会将账户信息记在纸上。
· 多重身份验证:随着重复使用密码的问题越来越突出,为高风险交易添加额外的验证因素有助于降低账户被盗的风险。调查显示,大约三分之二的全球受访者在接受调查之前的几周内使用了多重身份验证。
深入观察数字医疗
在疫情期间,人们对 COVID-19 疫苗、检测和治疗的需求量很大,而数字渠道成为了满足这些需求的一个关键途径。根据 IBM Security 分析,消费者通过各种数字渠道获取与 COVID-19 有关的服务,接下来可能会通过降低新用户的使用门槛,以促进用户与医疗服务提供商之间的数字互动。4 根据调查:
· 63% 的受访者5通过某种形式的数字渠道(网络、移动应用、电子邮件和短信)使用与疫情相关的服务
· 尽管网站/网络应用是最常用的数字互动方式,但使用移动应用和短信的受访者也不在少数,分别有 39% 和 20% 的受访者通过这些渠道参与数字互动。
随着医疗服务提供商进一步推动远程医疗,他们的运营重心将从保持关键 IT 系统在线转变为保护敏感的患者数据和持续遵守 HIPAA。因此,确保安全协议的设计能够顺应这种转变也变得越来越重要。为此,他们需要进行数据分割和实施严格控制,确保用户只能访问特定的系统和数据,从而限制被盗账户或设备所造成的影响。为了应对勒索软件和勒索攻击事件,医疗服务提供商不仅应当对患者数据进行加密(最好能始终保持加密状态),而且必须拥有可靠的备份,确保系统和数据能够迅速恢复,尽量缩短中断时间。
为数字证书铺平道路
数字健康通行证或所谓的“疫苗护照”的概念让消费者看到了数字凭证的真实用例,它提供了一种基于技术的方法,可用于验证用户身份的某些方面。据调查,全球 65% 的成年人表示自己很熟悉数字证书的概念。如果数字证书获得普遍接受,76% 的人可能会采用数字证书。
人们在疫情期间了解到的数字化身份证明概念可能会扩大现代化数字身份系统的使用范围。将来,数字身份证件可能会取代护照、驾照等传统身份证件,为消费者提供一种新的方式,让他们可以仅提供特定事务所需的信息即可。尽管使用数字身份证件可能是大势所趋,但必须采取安全和隐私措施来防止伪造,我们寄希望于借助区块链解决方案的强大功能来验证用户凭证,在凭证被盗后迅速更新,避免损失。
组织如何适应不断变化的消费者安全形势
因疫情而越来越依赖消费者数字互动的企业应当考虑这种现状对自身的网络安全风险状况有何影响。鉴于与数字便利性有关的消费者行为和偏好会不断变化,IBM Security 建议组织考虑以下安全建议:
· 零信任方法:鉴于企业面临的风险日益增加,企业应当考虑采用“零信任”安全方法。在运行过程中,这种方法会假设已通过身份验证的用户或网络本身可能已经受到威胁,因此,它会不断验证用户、数据、资源之间的连接状况,以此来确定授权和需求。这种方法要求企业统一安全数据和方法,目标是为每名用户、每台设备和每次交互提供安全环境。
· 实现消费者 IAM 现代化:对于希望继续利用数字渠道促进消费者互动的企业而言,提供无缝身份验证流程非常重要。企业可以通过采用现代化消费者身份与访问管理 (Identity and Access Management - IAM) 策略来提高数字参与度——提供跨数字平台的无摩擦用户体验,利用行为分析来降低账户被盗用的风险。
· 数据保护和隐私:企业拥有的数字用户越多,企业需要保护的敏感消费者数据就越多。在研究涉及的数据泄露事件中,企业的平均损失高达 386 万美元,因此,6 组织必须采取强有力的数据安全控制措施来防止未经授权的访问,包括监控数据、检测可疑活动、对需要传输的敏感数据进行加密等等。此外,企业还应在本地和云端实施适当的隐私政策,保持消费者对企业的信任。
· 测试安全性:随着用户对数字平台的使用和依赖行为迅速变化,企业应考虑通过专门测试来验证他们以前使用的安全策略和技术在新形势下是否仍然有效。在测试过程中,重新评估事件响应计划的有效性和测试安全漏洞检测应用是两个重要方面。
如需查看完整报告和多媒体资讯,请访问:http://ibm.biz/IBMSecurity_ConsumerSurvey
参考资料:
1: 2021 年 IBM X-Force 威胁情报指数报告 : 用户凭证泄露是 2020 年网络攻击的第三大初始攻击途径,已报告的网络攻击之中的 18% 都是通过这一途径发起的。
2: Morning Consult 于 2021 年 3 月代表 IBM 展开了一项全球调查。来自 22 个市场的 22,000 名成年人接受了调查。
3: 基于 IBM Security 洞察的预测
4: 基于 IBM Security 分析的预测
5: 包括 COVID-19 财政救济、检测、治疗和疫苗接种
6: 2020 年数据泄露成本报告,由 Ponemon Institute 开展的一项基准研究,IBM Security 为其提供了分析服务和赞助
关于 IBM Security
IBM Security 可为用户提供一种最先进、集成度最高的企业安全产品和服务组合。该产品组合已通过全球知名的 IBM Security X-Force研究的验证,可帮助组织有效管理风险,防御新出现的威胁。IBM Security 是全球规模最大的安全性研究、开发和交付组织之一,每天在 130 多个国家和地区监控超过 1500 亿个安全事件,已在全球范围内获得了 10,000 多项安全专利。如需了解更多信息,请访问 www.ibm.com/security,在 Twitter 上关注 @IBMSecurity 或访问 IBM Security Intelligence 博客。
调研方法:Morning Consult 于 2021 年 3 月代表 IBM 开展了一项全球调查。研究对象是来自 22 个市场的 22,000 名成年人(每个市场 1,000 名受访者),其中包括阿根廷、澳大利亚、巴西、加拿大、智利、哥伦比亚、法国、德国、印度、意大利、日本、墨西哥、秘鲁、新加坡、韩国、西班牙、 英国、美国、中东、中欧和东欧、北欧以及 BNL(比利时、荷兰和卢森堡)。